国外分析
针对攻击目标地址位于国外的情况进行分析,我们得到 IPv6 目的地址在国外的分布情况,包括国家, 日志数量,以及所占比例信息。如图 5.10 所示,美国占据整个国外地址的 78%,排名其后的主要是一 些欧洲国家。美国占据头部位置和其自身的 IPv6 的部署情况有关,其一是 IPv6 的 DNS服务器在美国, 对于 IPv6 地址的解析均需要路由到美国 IPv6 服务器;其二就是美国 CDN网络,其中 Akamai 支持的 IPv6 CDN网络在美国已经占有绝对地址 ,北美地区的 IPv6 网络流量超过了世界的任何其它地区 ①。
图 5.10 国外目的地址分布
奥地利,419,7% 新加坡,216,4%
瑞典,180,3%
德国,129,2%
保加利亚,108,2%
塞浦路斯 芬兰 3,0%
荷兰,104,2% 2,0%
爱尔兰,65,1% 拉脱维亚
英国,57,1% 3,0% 捷克,2,0%
巴西,11,0%
美国,4627,78%
日本,9,0% 澳大利亚 加拿大
4,0% 5,0%法国,5,0%
其他,19,0%
针对国外的目标地址进行分析,可以发现许多和僵木蠕相关的攻击,涉及的 9 种僵木蠕相关的告警 信息列举如下。
图 5.11 国外目标地址涉及告警数量分布
|名称|数量|
|门罗币挖矿程序查询服务器
通信|205||恶意挖矿病毒 Xmri
g 服务器通信|127||挖矿蠕虫 WannaMine 服务器通信|123|
|蠕虫病毒 W32.Faedevour 后门通信|94|
|恶意程序 windows/PowerGhost_a 网络通信|92|
|勒索病毒 WannaCry 通信|79|
|木马后门程序冬日之恋通信 |53|
|苹果 XcodeGhost 木马连接服务器|43|
|恶意程序 BadRabbit(坏兔子)勒索病毒通信|24|
进一步分析发现所有这些攻击相关日志其连接目的地绝大部分位于美国,针对上面的攻击,梳理出
和美国相关的地址 21 个,罗马尼亚相关的有 5个,与德国相关的地址有 3个,与爱尔兰相关的地址有 4个, 马来西亚相关的地址有 3 个。这些僵木蠕日志信息,其目的地址为国外地址,且都是通信行为。不难看
出,在 IPv6 环境中,攻击者更青睐使用国外地址作为 C&C服务器,来逃避国内监管。
同样,对于国外 IPv6 攻击源分析,我们发现排名前三的攻击源分布于罗马尼亚,马来西亚和美国。 图 5.12 、图 5.13 和图 5.14 列出了罗马尼亚,美国,马来西亚的数据,包括了日志名称及日志数量。
图 5.12 罗马尼亚攻击源的告警类型分布
|名称|数量|
|Webshell 后门访问控制|302|
|PHP 代码执行漏洞|132|
|Web 服务远程跨站脚本执行攻击|83|
|Webshell 脚本文件上传行为|60|
|FCKEditor 任意文件上传漏洞|42|
|Web 服务远程 SQL注入攻击行为|40|
图 5.13 美国攻击源的告警类型分布
|名称|数量|
|ThinkPHP5 5.0.23 远程代码执行漏洞|121|
|苹果 XcodeGhost 木马连接服务器|60|
|Webshell 后门访问控制|43|
|FCKEditor 'FileUpload()' 函数任意文件上传漏洞|35|
|JFrog Artifactory Administrator 身份验证绕过 (CVE-2019-9733)|12|
图 5.14 马来西亚攻击源的告警类型分布
|名称|数量|
|PHP 代码执行漏洞|102|
|FCKEditor 任意文件上传漏洞|51|
|Web 服务远程命令执行攻击|30|
|Drupal 核心远程代码执行漏洞|15|
|Web 服务远程跨站脚本执行攻击|12|
|HTTP 命令注入|5|
分析相关告警数据可知:
- 国外攻击源基本没有主动的 C&C服务器连接行为,说明这些地址并非受害者,同时 C&C服务 器位于国内的情况也为数不多。从告警类型来看,这些 IPv6 源地址都是对公网服务发起漏洞相 关的攻击,明显属于攻击者角色。
- 国外攻击源主要的攻击目标是 Web 服务,常用攻击手段为 Webshell,FCKEditor 上传漏洞, XSS,SQL 注入及 Drupal 远程代码执行漏洞。
参考资料
绿盟 IPv6环境下的网络安全观察报告
友情链接
GB-T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
